Eigentlich gelten Dezentrale Bitcoin-Börsen (Decentralized Exchanges, DEX) als besonders sicher. Folgenschwere Hacks betreffen in der Regel nur die zentralisierte Konkurrenz. Die Bitcoin-Börse Bisq hat nun eine Ausnahme von dieser Regel geliefert.

Eigentlich gelten Dezentrale Bitcoin-Börsen (Decentralized Exchanges, DEX) als besonders sicher. Folgenschwere Hacks betreffen in der Regel nur die zentralisierte Konkurrenz. Die Bitcoin-Börse Bisq hat nun eine Ausnahme von dieser Regel geliefert. Bei einem Angriff erbeuteten Hacker von Bisq-Nutzern Bitcoin (BTC) und Monero (XMR) im Gegenwert von rund 250.000 US-Dollar. Wie Bisq am 8. April per Blogeintrag verlautbarte, nutzte der Angreifer dabei eine Schwachstelle in dem Protokoll aus, das die Abwicklung von Trades steuert. Demnach sei es dem Hacker gelungen, die Adresse einer Treuhand-Wallet zu manipulieren, die bei Bisq zur Abwicklung festgefahrener Trades eingesetzt wird.

Bisq will Opfer entschädigen

Auf diese Weise konnte der Hacker mindestens sieben Nutzer um rund 3 Bitcoin sowie 4.000 XMR erleichtern. Als die DEX-Betreiber den Fehler entdeckten, legten sie kurzerhand den gesamten Handel still.

Die BisqDAO, die dezentrale, autonome Organisation hinter der DEX, hat das Sicherheitsleck derweil mit einem Softwareupdate gestopft – und sich bei der Community für den Fauxpas entschuldigt.

Sicherheit hatte für Bisq immer höchste Priorität, aber dieser Vorfall zeigt, dass er nicht perfekt war. Das Projekt evaluiert verschiedene Ansätze zur weiteren Stärkung von Sicherheitsüberprüfungen und -praktiken und wird diese bald im Detail vorstellen. In den letzten vier Jahren, in denen Bisq im Hauptnetz operiert, musste das Unternehmen noch nie die Alarmtaste benutzen, um den “Safe Mode” auf Bisq-Knoten zu aktivieren, und dies ist ein beispielloser Fall für die Bisq-DAO. Die Bisq-Entwicklergemeinschaft entschuldigt sich aufrichtig für dieses Sicherheitsversagen.

Steve Jain, Bisq

Den warmen Worten sollen nun auch Taten folgen: Die BisqDAO hat angekündigt, zeitnah über einen Vorschlag zur Entschädigung der Opfer abzustimmen. Die Entschädigung will man aus künftigen Handelsumsätzen finanzieren. Auf Twitter bemüht sich Bisq indessen um auch beim eigenen Image um Schadensbegrenzung.

Dieser Vorfall war nichts im Vergleich zu dem typischen “Krypto-Exchange-Hack”, den man typischerweise in den Schlagzeilen sieht. Es gibt keinen Honeypot mit Bisq-Handelseinlagen, der gestohlen werden könnte. Gelder in Bisq Wallets sind unantastbar.

@bisq_network via Twitter

Börsen-Hacks: Domäne der zentralisierten Bitcoin Exchanges

Die DEX spielt damit auf Hacks zentralisierter Bitcoin-Börsen an, die in der Vergangenheit Schäden in Milliardenhöhe angerichtet haben. Hacks eines solchen Ausmaßes sind bei einer echten P2P-Tauschbörse tatsächlich praktisch unmöglich. Zum einen, weil Bisq und Co. keine Kundengelder verwahren, sondern lediglich Handelspartner miteinander verbinden. Im Fall von Bisq konnte der Hacker dadurch nur einzelne Trades manipulieren. Zum anderen verfügt Bisq über keine zentrale Serverstruktur, sondern läuft über das anonyme TOR-Netzwerk, wobei jeder Nutzer mit seiner Bisq App einen Knotenpunkt (Node) bildet.